Ataque por medio de código QR

Todos somos conscientes del rápido crecimiento de los dispositivos móviles ya es sabido por muchos que actualmente toda nuestra información se encuentra almacenada en esta clase de dispositivos ya sea en un celular, una tablet, un localizador, etc. Por ello, y como muchas veces lo hemos visto en la comunidad, tiende a crecer los ataques a esta clase de equipos y en consecuencia el desarrollo de aplicaciones maliciosas. Las consecuencias de que a un usuario le pirateen su teléfono van desde que puedan espiarlo, robarle información o acceder a su agenda de contactos, por poner solo algunos ejemplos. Y lo peor de todo es lo fácil que resulta hacerlo.




Hace poco volví a repasar los capítulos de la serie de Discovery Max "Mundo Hacker TV" y en el capitulo relacionado a "Seguridad en Redes Moviles" tocan un tema muy interesante. Se trata de una puesta a prueba donde un supuesto atacante coloca un cartel en un centro comercial con un código QR de una supuesta super promoción y al escanearlo con la cámara del celular este lo llevaba a a una aplicación maliciosa, me pareció entretenido si desean pueden verlo en el siguiente video : 





Me quede con las ganas de ponerlo a prueba y recordé que la poderosa herramienta "SET" trae consigo una suite para poder realizar este tipo de ataque en donde con un poco de ingeniería social se puede robar gran cantidad de información.

En primer lugar vamos a definir algunos términos que usare en este articulo  :

Código QR :  Un código QR (quick response code, «código de respuesta rápida») es un módulo útil para almacenar información en una matriz de puntos o un código de barras es decir puedo almacenar un enlace a un sitio web mediante el uso de este tipo de código, son estas imágenes que seguro conocen.

Aplicacion APK : En el caso de dispositivos android el formato del paquete instalador de aplicaciones se le conoce como apk (Application PacKage File).

Con todo esto listo y con muchas ganas vamos a poner a prueba este Hack-Lab :


Para empezar abrimos nuestro Kali Linux y en la consola escribimos: setoolkit




Nos aparecerá el menú de opciones de esta potente e intuitiva herramienta.

Luego nos dirigimos a la siguiente opción :

1) Social-Engineering Attacks
9) QR code generator Attack vector
Nos pedira introducir la pagina donde queremos dirigir al escanear el codigo con el celular.




Ahora solo quedaria mover nuestra imagen del codigo QR

cp /root/.set/reports/qrcode_attack.png /root/Desktop

Podremos enlazar al codigo QR algun sitio malicioso para moviles, alguna aplicacion apk con el fin de obtener datos einfectar a la victima ya todo depende de la ingenieria social.

Xander

Powered by Blogger.